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Vorbemerkung 


Die Bundesverwaltung ist bei der Erfüllung ihrer viel- 
gestaltigen Aufgaben in hohem Maße von einer siche- 
ren Informationstechnik abhängig. Mit Hilfe der Da- 
tenverarbeitung wird beispielsweise jährlich ein Fi- 
nanzvolumen in dreistelliger Milliardenhöhe verwal- 
tet. 

Der Sicherheit der Informationsverarbeitung, insbe- 
sondere in kassenwirksamen, sicherheits empfindli- 
chen und sonstigen sensiblen Bereichen, kommt eine 
herausragende Bedeutung zu. Die Datenverarbei- 
tungsanlagen müssen technisch verfügbar und gegen 
Ausfall gesichert, die Vertraulichkeit der Daten sowie 
die Richtigkeit und Unversehrtheit der Daten und Pro- 
gramme müssen gewährleistet sein. 

Um den möglichen Gefährdungen zu begegnen und 
eine ausreichende, zugleich aber wirtschaftlich ver- 
tretbare Sicherheit der Informationstechnik zu errei- 
chen, müssen Sicherheitsmaßnahmen technischer, or- 
ganisatorischer und personeller Art Zusammenwir- 
ken. 

Sicherheitsmaßnahmen kosten im allgemeinen Geld. 
Nicht ausreichende Sicherheitsmaßnahmen können 
aber zu Schäden führen, deren finanzielle und son- 
stige Auswirkungen den Sicherheitsaufwand bei wei- 
tem übersteigen. Als notwendiger Teil der Investi- 
tionsentscheidung sollten der Sicherheitsaspekt und 
die damit im Zusammenhang stehenden Ausgaben 


Zusammenfassung 


0.1 Sicherung der Verfahren 

In Rechenzentren der Bundesverwaltung, in denen 
sensible kassenwirksame, personen- und auch sach- 
mittelbezogene Daten verarbeitet werden, sind die 
Verfahren nicht hinreichend gegenüber Katastrophen 
oder möglicher Sabotage gesichert. 


0.2 Risikoanalysen und Sicherheitskonzepte 

Für die eingesetzten Verfahren wurden keine Risiko- 
analysen durchgeführt. Die daraus abzuleitenden um- 
fassenden Sicherheitskonzepte fehlten. Die Katastro- 
phenschutzpläne waren unvollständig. 


bereits bei der Planung berücksichtigt werden. Für 
eine sachgerechte Bewertung des mit Sicherheits- 
maßnahmen verbundenen Aufwands und Nutzens ist 
die Erstellung von Risikoanalysen und Sicherheits- 
konzepten unabdingbar. Sie bilden die Vorausset- 
zung für eine angemessene Sicherheit der Informa- 
tionsverarbeitung. 

Der Bundesrechnungshof und die in seinem Auftrag 
tätigen Vorprüfungsstellen haben bei ihren Prüfun- 
gen erhebliche Mängel in der Sicherheit der Informa- 
tionstechnik festgestellt. Dabei hat sich ergeben, daß 
ein großer Teil der Mängel mit vergleichsweise gerin- 
gem finanziellem Aufwand, beispielsweise durch re- 
gelmäßige Kontrolle der Wirksamkeit bereits beste- 
hender Sicherheitsvorkehrungen, behoben werden 
kann. 

Ein Fortbestand der Mängel kann zu erheblichen 
Nachteilen für den Bund führen. Die von der Bundes- 
regierung bisher ergriffenen und geplanten Maßnah- 
men zur Verbesserung der Sicherheit reichen nicht 
aus. Vielmehr sollte durch intensive Beratung sowie 
Aus- und Fortbildung bei den mit Informationstechnik 
befaßten Stellen das notwendige Sicherheitsbewußt- 
sein geweckt oder weiter verstärkt werden. 

Deshalb hält es der Bundesrechnungshof für geboten, 
seine Feststellungen dem Deutschen Bundestag, dem 
Bundesrat und der Bundesregierung mitzuteilen. 


0.3 Technische Verfügbarkeit 

Die technische Verfügbarkeit der in den Rechenzen- 
tren eingesetzten Verfahren ist nicht immer in ausrei- 
chendem Maße gewährleistet. 


0.4 Zugangskontrolien; Schutz der Programme 
und Daten 

Bei Rechenzentren wiesen die Zugangskontrollen zu 
den einzelnen Sicherheitsbereichen Lücken auf. Glei- 
ches galt für den Schutz der Programme und Daten 
gegen Manipulation, unberechtigte Kenntnisnahme 
und Datenverlust. 
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Abschnitt I 


1 Allgemeine Feststellungen 

1.1 

Der Bundesrechnungshof hat im Rahmen einer Quer- 
schnittsprüfung — unter Beteiligung der Prüfergrup- 
pen Datenverarbeitung der Vorprüfungsstellen des 
Bundesministers für Verkehr und des Bundesmini- 
sters der Verteidigung sowie des Prüfungsdienstes bei 
der Deutschen Bundesbahn — - die Sicherheit der In- 
formationsverarbeitung in Rechenzentren der Bun- 
desverwaltung, der Deutschen Bundespost und der 
Deutschen Bundesbahn geprüft. 

Über einen Teil der Prüfungsergebnisse bei Rechen- 
zentren der Bundeswehr hat er bereits in den Bemer- 
kungen 1989 berichtet (Drucksache 11/5383 Nr. 30). 
Die gleichen wie die dort geschilderten bedeutsamen 
Mängel (Nr. 30.1.1) hat er auch bei allen weiteren 
Prüfungen festgestellt: 

— Es fehlen verfahrensbezogene Risikoanalysen, die 
Aufschluß darüber geben, welcher finanzielle, or- 
ganisatorische und personelle Sicherheitsaufwand 
gegenüber möghchen Bedrohungen wirtschafthch 
angemessen ist und welche Risiken als Restrisiken 
hingenommen werden können. 

— Es fehlen umfassende Sicherheitskonzepte, die auf 
diesen Risiko analysen aufbauen und in denen das 
lückenlose Zusammenspiel aller daraus abgeleite- 
ten Sicherheitsteilmaßnahmen zu einer Gesamtsi- 
cherheit dargestellt wird. 

— Die Regelungen für den Katastrophenfall sind un- 
zureichend; Katastrophenschutz- und Wiederan- 
laufübungen wurden unterlassen. 

In vielen Fällen war eine zu große Zahl von Mitarbei- 
tern in Rechenzentren berechtigt, Programme und 
Daten zu lesen und zu verändern. 

Der Schutz von Programmen und Daten vor unberech- 
tigtem Zugriff zwecks Kenntnisnahme, Manipulation 
oder Zerstörung ist insgesamt unzureichend. Daraus 
ergibt sich insbesondere für personenbezogene, kas- 
senwirksame und sonstige sensible Daten ein hohes 
Risiko gegenüber Manipulation, Verlust der Vertrau- 
lichkeit und Verlust der Verfügbarkeit. 


1.2 

Der Bundesrechnungshof und die anderen Prüfungs- 
organe haben den Bundesminister für Verkehr, den 
Bundesminister für Post und Telekommunikation, den 
Bundesminister der Verteidigung sowie den Vorstand 
der Deutschen Bundesbahn auf gef ordert, die Mängel 
umgehend zu beseitigen. So sei dafür zu sorgen, daß 


die Bedarfsträger für die in den Rechenzentren einge- 
setzten Verfahren eine Risikoanalyse erstellen. Für 
die Rechenzentren müßten auf der Basis der Risiko- 
analysen umfassende Sicherheitskonzepte und Kata- 
strophenschutzpläne erarbeitet werden. Übungen für 
den Notfall sollten durchgeführt werden. Die Zugriffs- 
berechtigung auf Programme und Daten sei restriktiv 
zu erteilen. Die Notwendigkeit der Berechtigung des 
Zugriffs sei regelmäßig und zeitnah zu überprüfen. Je 
nach Bedeutung der Daten sei bei Versuchen unbe- 
rechtigten Zugriffs der Sachverhalt umgehend aufzu- 
klären. 


1.3 

Die geprüften Stellen haben die Mängel grundsätz- 
lich anerkannt. Wegen des Fehlens von Personalka- 
pazitäten und Arbeitshilfen seien sie aber außer- 
stande, kurzfristig Risikoanalysen und Sicherheits- 
konzepte zu erstellen. Katastrophenschutzpläne wür- 
den erarbeitet oder auf den neuesten Stand gebracht. 
Übungen werde man nach Fertigstellung der Kata- 
strophenschutzpläne durchführen. Eine Überarbei- 
tung der Zugriffsrechte wurde angekündigt. 


1.4 

Der Bundesrechnungshof vermag nicht einzusehen, 
daß die Bundesminister und der Vorstand der Deut- 
schen Bundesbahn mit dem Hinweis auf Personal- 
mangel die dringend gebotene Verbesserung der Si- 
cherheit in den Rechenzentren der Bundesverwaltung 
hinausgezögert haben. Risikoanalysen und Sicher- 
heitskonzepte stellen die unverzichtbaren Grundla- 
gen der Sicherheit dar. Die Bundesminister und der 
Vorstand sollten bemüht sein, die Prioritäten so zu set- 
zen, daß diese Aufgaben im Rahmen der vorhandenen 
Stellen ordnungsgemäß erledigt werden können. 
Dazu gehört auch, durch entsprechende Auswahl und 
Förderung von Nachwuchskräften frühzeitig Vor- 
sorge zu treffen, daß die vorhandenen Stellen mit qua- 
lifiziertem Personal besetzt sind. Seit der ersten Prü- 
fungsmitteilung des Bundesrechnungshofes im Jahre 
1988 zu diesen Themen ist der Stand der Sicherheit in 
den Rechenzentren der Bundesverwaltung noch nicht 
entscheidend verbessert worden. 

Die Bundesminister sowie die Vorstände der Deut- 
schen Bundesbahn und der Unternehmen der Deut- 
schen Bundespost sollten nunmehr unverzüghch die 
erforderhchen Schritte unternehmen, um die aufge- 
zeigten Mängel abzustellen und den Stand der Sicher- 
heit der Informationsverarbeitung zu verbessern. 
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Abschnitt II 


Über diese die Ressorts, die Deutsche Bundesbahn 
und die Deutsche Bundespost in gleichem Maße be- 
treffenden Beanstandungen hinaus wurden in einzel- 
nen Rechenzentren weitere gravierende Mängel fest- 
gestellt. 


2 Bundesminister für Verkehr 

2.1 Administrative Datenverarbeitung 

In dem Rechenzentrum eines zum Geschäftsbereich 
des Bundesministers gehörenden Bundesamtes wer- 
den verschiedene Datenbanken geführt sowie Stati- 
stiken erstellt, die als Grundlage für Verkehrs- und 
wirtschaftspolitische Entscheidungen dienen. 


2.1.1 Technische Verfügbarkeit 

2 . 1 . 1.1 

Die technische Verfügbarkeit der Datenverarbei- 
tungsanlage war in hohem Maße von der Leistungsfä- 
higkeit der im Rechenzentrum installierten Klimaan- 
lage abhängig. Diese war nicht in der Lage, bei un- 
günstigen Witterungsverhältnissen die für einen zu- 
verlässigen Betrieb nötige Anlagenkühlung zu errei- 
chen. Schon im Normalbetrieb lief die Anlage ständig 
unter Vollast. Ersatzanlagen und Reserven waren 
nicht vorhanden. Bei einer eingetretenen Störung der 
Klimaanlage mußte die Datenverarbeitungsanlage 
nach 30 Minuten wegen Überhitzung abgeschaltet 
werden. Die im Rechenzentrum zur Überwachung der 
Klimaanlage eingesetzte Anzeigetafel war nicht funk- 
tionsfähig. 


2.1.1.2 

Der Bundesrechnungshof hat darauf hingewiesen, 
daß die technische Verfügbarkeit des Rechners — und 
damit der Datenbanken — durch die störanfällige und 
unzureichende Khmatisierung in hohem Maße ge- 
fährdet ist. Weiterhin bestehe die Gefahr, daß beim 
Betrieb der Datenverarbeitungsanlage in erhöhter 
Umgebungstemperatur bleibende Schäden an der 
Hardware entstehen. Diese Gefahr werde noch ver- 
größert, weil die Anzeigetafel Übertemperaturen 
nicht rechtzeitig anzeige. 

Der Bundesrechnungshof hat das Bundesamt aufge- 
fordert, auf der Grundlage einer zu erstellenden Risi- 
koanalyse die erforderliche Verfügbarkeit des Re- 
chenzentrums sicherzustellen. So muß die Klimaan- 
lage ausreichend dimensioniert und mit einer vorzu- 
gebenden Ausfallrate betrieben werden. Die Anzei- 
getafel sollte funktionsfähig sein. 


2.1. 1.3 

Das Bundesamt hat die Beanstandungen anerkannt 
und mitgeteilt, es habe Sofortmaßnahmen zur Verbes- 
serung der Khmasituation ergriffen. Um Maßnahmen 
zur Entlastung der Klimaanlage durchführen zu kön- 
nen, habe man für das Jahr 1991 Haushaltsmittel be- 
antragt. Durch den für das Jahr 1992 vorgesehenen 
Umbau des Rechenzentrums würden sich weitere 
Verbesserungen ergeben. 


2.1. 1.4 

Der Bundesrechnungshof gibt zu bedenken, daß die 
Maßnahmen zur Verbesserung der Khmatisierung des 
Rechenzentrums erst im Laufe des Jahres 1991 ausrei- 
chende Wirkung zeigen werden. Bis dahin ist die Ver- 
fügbarkeit des Rechners weiterhin gefährdet. Der 
Bundesminister sollte in der Übergangszeit für die 
wichtigsten Datenverarbeitungsanwendungen geeig- 
nete Maßnahmen treffen. 


2.1.2 Datenerfassung 

2 . 1 . 2.1 

In dem Referat Datenerfassung des Bundesamtes sind 
von 154 Kräften täghch etwa 60 000 Belege zu bear- 
beiten. Eine organisatorische Regelung in Form einer 
allgemeinen Erfassungsanweisung fehlte. Die Zu- 
gänge zu den Erfassungsräumen blieben unverschlos- 
sen und unbewacht. Die Belege mit personenbezoge- 
nen Daten wurden in den Datenerfassungsräumen of- 
fen gelagert. Auch nach Dienstschluß bheben die Be- 
lege frei zugänghch. Die Erfassung personenbezoge- 
ner Daten geschah ohne Vollzähligkeitskontrolle der 
eingehenden Belegstapel. Eine Prüfung der Richtig- 
keit der Erfassung (Prüferfassung) fand nur teilweise 
statt. Bei zu starkem Arbeitsanfall unterbheb sie häu- 
fig. Eindeutige Regelungen über die Durchführung 
der Prüferfassung bestanden nicht. Als Zugriffsschutz 
zu den Erfassungsdaten diente lediglich eine zwei- bis 
vierstellige, den anderen Benutzern bekannte Ken- 
nung. Ein Techniker des Hardware -Herstellers, dem 
systemweite Zugriffsberechtigung eingeräumt war 
und der Wartungsarbeiten ohne Aufsicht durchführte, 
besaß als einziger Kenntnisse von bestimmten Sy- 
stemfunktionen. 


2.1. 2.2 

Der Bundesrechnungshof hat beanstandet, daß eine 
zuverlässige und ordnungsgemäße Datenerfassung 
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nicht gewährleistet war, weil Erfassungsanweisungen 
fehlten. Die nicht konsequent durchgeführte Prüf- 
erfassung kann die Richtigkeit und Unversehrtheit 
(Integrität) der Datenbestände und Statistiken erheb- 
lich beeinträchtigen. Wegen der Unzulänghchkeit der 
Zugangs- und Zugriffskontrolle sei weder die Ver- 
traulichkeit noch die Unversehrtheit der Daten in aus- 
reichendem Maße gewährleistet. 

Der Bundesrechnungshof hat gefordert, organisatori- 
sche Regelungen für die Datenerfassung einzuführen, 
die Zugangskontrolle zu den Erfassungsräumen zu 
verschärfen und die Räume außerhalb der Dienstzeit 
verschlossen zu halten. Zwar sei eine lückenlose Voll- 
zähligkeitskontrolle bei den Erfassungsbelegen wirt- 
schaftlich nicht vertretbar, doch sollte das Bundesamt 
auf andere geeignete Weise die Risiken bei der Beleg- 
behandlung verringern. 


2.1. 2.3 

Das Bundesamt hat die Beanstandungen anerkannt. 
Es habe Maßnahmen ergriffen, die Zugangs- und Zu- 
grif fskontrolle zu den Datenerfassungsräumen zu ver- 
bessern. Eine Überwachung des Beleglaufes sei ein- 
geführt worden. Der Techniker des Hardware-Her- 
stellers solle in Zukunft nur noch unter Aufsicht eines 
Mitarbeiters der Datenerfassung Wartungsarbeiten 
durchführen. Den systemweiten Zugriff auf alle Da- 
teien und Programme benötige er aber zur Fehlerbe- 
handlung; dies sei auch bei anderen Anwendern üb- 
lich. 


2.1. 2.4 

Der Bundesrechnungshof verkennt nicht, daß die Er- 
fassung solch großer Belegmengen Probleme bereitet. 
Er sieht aber weiterhin die Gefahr der Manipulation 
imd des Verlustes an Vertrauhchkeit, wenn Außenste- 
hende so weitreichende Systemzugriffe besitzen. Der 
Bundesminister sollte zusätzliche, kurzfristig wirk- 
same Maßnahmen mit dem Ziel treffen, die Erfas- 
sungsdaten zuverlässig abzusichern. 


2.2 Technisch-wissenschaftliche Datenverarbeitung 

In dem Rechenzentrum einer Bundesanstalt im Ge- 
schäftsbereich des Bundesministers werden Daten für 
die Gewinnung von planerischen und bautechnischen 
Grundlagen des Straßenbauwesens verarbeitet. Es 
unterstützt die Forschungsplanung und -koordinie- 
rung sowie Untersuchungen auf dem Gebiet der Un- 
fallforschung, Es wirkt außerdem mit bei Analysen zur 
Gestaltung des Verkehrsgeschehens und des Straßen- 
umfeldes. Das Rechenzentrum der Bundesanstalt ist 
gleichzeitig Rechenzentrum des Bundesministers. Es 
wird auch von anderen Stellen in Anspruch genom- 
men. 


2.2.1 Programmentwicktung und Produktion, 

Datenerfassung 

2.2.1 .1 

Bei der Entwicklung und Pflege der Software sowie 

bei der Datenverarbeitungsproduktion wurde festge- 
stellt: 

— Die Entwicklung der Programme war von der Aus- 
führung (Programmproduktion) nicht getrennt. 
Programmierer konnten Programme auch dann 
noch ändern, wenn sie schon in der Verarbeitung 
genutzt wurden. 

— Entwickelte Programme wurden nicht vollständig 
getestet. Zum Test wurden vorhandene Datenbe- 
stände (Produktionsdaten) benutzt, die nicht alle 
Testfälle abdeckten. 

— Die Abnahme von Programmen vor der Überfüh- 
rung in die Produktion war nicht ausreichend gere- 
gelt. 

— In der Verarbeitung wurden Programme einge- 
setzt, die weder abgenommen noch freigegeben 
waren. 

— Programme in der Produktion wurden weder zen- 
tral verwaltet, noch unterlag die jeweilige Pro- 
grammversion einer Kontrolle (Versionskon- 
trolle). 

Weitere Feststellungen betrafen die Datenerfas- 
sung: 

— Eine Arbeitsanweisung für die Datenerfassung lag 
nicht vor. 

— Daten wurden im Online- Verfahren erfaßt und 
nach nur sehr begrenzten Plausibihtätsprüfungen 
direkt in die Produktionsdateien übertragen. 

— Es bestand keine Berichtigungsmöglichkeit für 
falsch erfaßte Daten. Die erfaßten Daten wurden 
nicht protokolliert. 


2.2.1 .2 

Der Bundesrechnunghof hält die festgestellten Män- 
gel für schwerwiegend. Er hat darauf hingewiesen, 
daß die Trennung von Entwicklung und Produktion 
Grundvoraussetzung für die Richtigkeit und Unver- 
sehrtheit der Programme und Datenbestände ist. 
Durch die unvollständigen Tests mit Produktionsda- 
ten ist es nicht möglich, eine ausreichende Qualität 
der Programme zu erreichen. Durch den Zugriff auf 
Produktionsdaten ist außerdem eine Manipulation an 
diesen nicht auszuschheßen. Nur durch eine zentrale 
Verwaltung und Versionskontrolle der Produktions- 
programme kann sichergestellt werden, daß die Pro- 
gramme Funktionen ausführen, die vom Nutzer ge- 
wollt sind. 

Die Richtigkeit und Unversehrtheit der Datenbe- 
stände und deren Vertrauhchkeit sind wegen der un- 
zureichenden Plausibihtätsprüfung und der fehlen- 
den Erfassungsregelung nicht gewährleistet. 
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Der Bundesrechnungshof hat die Beseitigung dieser 
Mängel gefordert. 


2.2.1 .3 

Die Bundesanstalt hat die Beanstandungen grund- 
sätzlich anerkannt. Entwicklung und Produktion wür- 
den künftig durch die Vergabe unterschiedlicher per- 
sonenbezogener Zugriffsberechtigungen (Nutzerken- 
nungen) voneinander getrennt. Eine zentrale Verwal- 
tung und eine Versionskontrolle der Produktionspro- 
gramme könne man aber derzeit nicht einführen, da 
das hierfür erforderliche Personal nicht zur Verfügung 
stehe. Bei zukünftigen Programmabnahmen werde 
man auch Sicherheitsprüfungen durchführen. Die 
festgestellten Mängel bei der Datenerfassung seien 
nicht der Regelfall. 


2.2.1. 4 

Der Bundesrechnungshof gibt zu bedenken, daß die 
Trennung von Entwicklung und Produktion nicht al- 
lein durch die Vergabe unterschiedlicher Nutzerken- 
nungen erreicht wird. Der Bundesminister sollte wei- 
tere organisatorische und softwaretechnische Maß- 
nahmen bei der Programmentwicklung und Datener- 
fassung ergreifen, um die Integrität und Vertraulich- 
keit der Daten und Programme zu gewährleisten. Im 
übrigen ist nicht entscheidend, ob die Mängel bei der 
Datenerfassung die Regel sind. Es kommt darauf an, 
möghchst alle Mängel zu vermeiden. Der Schutz der 
Produktion und der Datenbestände vor Manipulatio- 
nen muß sichergestellt sein. 


2.2.2 Programm- und Datensicherung 

2.2.2.1 

Bei der Bundesanstalt bestand kein einheitliches, ab- 
gestimmtes Sicherungsverfahren für die Nutzer- und 
für die Systemdateien. Eine Archivierungsanweisung 
existierte nicht. Datenträger wurden unkontrolliert 
aus dem Archiv gegeben. Eine regelmäßige Inventur 
der Magnetbänder fand nicht statt. Die letzte Inventur 
wurde im Jahre 1983 durchgeführt. Entgegen dem 
Prinzip der Funktionstrennung wurden Aufgaben der 
Archivverwaltung und der Maschinenbedienung 
(Operating) von ein und derselben Person wahrge- 
nommen. Die Operatoren hatten eine systemweite Zu- 
griffsberechtigung mit uneingeschränktem Zugriff 
auf alle Dateien. 


2.2.2.2 

Der Bundesrechnungshof hat beanstandet, daß auf- 
grund der uneinheitlichen, nicht abgestimmten Siche- 
rung und der Mängel bei der Archivierung ein ausrei- 
chender Schutz vor Datenverlust und vor Diebstahl 
von Datenträgern nicht gewährleistet ist. Die fehlende 
Fimktionentrennung und die systemweite Zugriffsbe- 
rechtigung bergen die Gefahr der unberechtigten 


Kenntnisnahme und Manipulation von Daten und 

Programmen. 

Er hat die Bundesanstalt aufgefordert, 

— das Sicherungsverfahren abzustimmen und zu ver- 
einheitlichen sowie eine Archivierungsanweisung 
zu erstellen, 

— ein vollständiges Bestandsverzeichnis der Ma- 
gnetbänder zu führen, 

— regelmäßig Inventuren durchzuführen, 

— Funktionentrennung zwischen Archivar und Ope- 
rator einzuführen und die Zugriffsrechte zu be- 
schränken. 


2.2.2.3 

Die Bundesanstalt hat entgegnet, sie halte ihre „um- 
fangreichen" Sicherungsarbeiten gemäß einem Si- 
cherungsplan für ausreichend. Ein Bestandsverzeich- 
nis der Magnetbänder sei bereits vorhanden. Regel- 
mäßige Inventuren der Datenträger im Archiv könn- 
ten nur mit zusätzlichem Personal durchgeführt wer- 
den. Die Trennung der Aufgaben von Archivar und 
Operator sei aus personellen Gründen nicht möglich. 
Es sei erforderlich, die Operatoren weiterhin mit sy- 
stemweiter Zugriffsberechtigung auszustatten, damit 
sie ihre Arbeiten fristgerecht durchführen könnten. 


2.2.2.4 

Der Bundesrechnungshof kann sich den Ausführun- 
gen der Bundesanstalt nicht anschheßen. Ein alle Da- 
tenträger umfassendes Bestandsverzeichnis fehlte. 
Zur Rekonstruktion der Daten und Programme im Ka- 
tastrophenfall ist ein einheitliches, zwischen den Nut- 
zern und dem Rechenzentrum abgestimmtes und alle 
Teilaspekte umfassendes Sicherungskonzept erfor- 
derhch. Dieses ist nicht vorhanden. 

Ein Bedürfnis für die Vergabe der sicherheitsrelevan- 
ten systemweiten Zugriffsberechtigung an Operato- 
ren ist nicht erkennbar. Diese Berechtigung sollte nur 
sehr restriktiv vergeben werden. Operatoren benöti- 
gen in einem Produktionsrechenzentrum zu ihrer Auf- 
j gabenerledigung keine Berechtigung zum Zugriff auf 
alle Daten und Programme, 


2.3 Einschränkung der Zugriffsberechtigung 

Der Bundesminister hat sich zu den Beanstandungen 
bei dem Bundesamt und der Bundesanstalt nicht ge- 
äußert. Er sollte dafür Sorge tragen, daß ein abge- 
stimmtes Sicherungskonzept erstellt wird. Die Zu- 
griffsberechtigungen in der Bundesanstalt sollten re- 
striktiv, d. h. beschränkt auf das für die jeweilige 
Aufgabenerfüllung erforderhche Maß, vergeben 
werden. 
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3 Bundesminister der Verteidigung 

3.1 Verarbeitung sensibler Daten 

3.1.1 

In einem Rechenzentrum der Bundeswehr werden 
sensible, zum Teil als Verschlußsache (VS) einge- 
stufte Daten verarbeitet. Das Rechenzentrum liegt un- 
geschützt unmittelbar an einer öffenthchen Straße. 
An seiner Rückfront befinden sich öffentliche Park- 
plätze. Datenbestände, aus denen VS- Vertraulich ein- 
gestufte Listen erstellt werden, lagerten ohne beson- 
dere Schutzvorkehrungen im Datenträgerarchiv. Für 
die Verarbeitung wurde nicht abstrahlsichere und 
nicht zugelassene Hardware benutzt. 

Der Bundesminister wurde bereits bei der Prüfung 
eines anderen Rechenzentrums im Jahre 1988 auf ge- 
fordert, ein Konzept für die Verarbeitung von VS- 
Daten für alle Rechenzentren der Bundeswehr zu er- 
stellen. Ein solches Konzept liegt noch nicht vor. 


3.1.2 

Der Bundesrechnungshof hat bemängelt, daß wegen 
der organisatorisch und räumüch unzureichenden Si- 
cherung der Datenbestände Mitarbeiter des Rechen- 
zentrums unberechtigt Listen erstellen können, die für 
die Verteidigung bedeutsam sind. Durch den Ge- 
brauch nicht abstrahlsicherer Geräte ist die Vertrau- 
lichkeit der Daten nicht gewährleistet. Der Bundes- 
rechnungshof hat das Rechenzentrum aufgefordert zu 
prüfen, ob die Ab Strahlung bei als Verschlußsache 
eingestuften Daten hinzunehmen oder ob zu deren 
Verarbeitung ein sichereres Rechenzentrum zu be- 
nutzen ist. 


3.1.3 

Der Bundesminister hat mitgeteilt, daß er Absiche- 
rungsmaßnahmen vorgesehen hat, die er für ausrei- 
chend hält. Zur Vorbereitung und Durchführung der 
Listenerstellung seien mehrere Personen erforderhch. 
Der Einsatz von ab strahlsicherer Hardware bei einer 
Verarbeitungsdauer der Liste im Minutenbereich sei 
unwirtschaf dich . 


3.1.4 

Die Kritik des Bundesrechnungshofes, daß der Bun- 
desminister nicht alle gebotenen Maßnahmen zum 
Schutze der sensiblen Daten ergriffen habe, ist nicht 
ausgeräumt. Durch seine Lage ist das Rechenzentrum 
in verstärktem Maße der Gefahr von Abhörangriffen 
ausgesetzt. Dies kann die Auslagerung von sensiblen 
Verfahren erforderhch machen. 

Der Bundesminister sollte nunmehr beginnen, das 
vom Bundesrechnungshof geforderte Konzept für die 
Verarbeitung von VS-Daten zu erstellen. Dabei soll- 
ten auch sensible, aber nicht als Verschlußsache ein- 
gestufte Daten berücksichtigt werden. 


3.2 Mikroverfilmung 

3.2.1 

In dem Rechenzentrum werden Daten mikro verfilmt, 
die teilweise als Verschlußsache eingestuft sind. Die 
eingesetzte Verfilmungsanlage ist für die Verarbei- 
tung solcher Daten nicht zugelassen. Maßnahmen zur 
Abschirmung von kompromittierender Abstrahlung 
waren nicht getroffen. 


3.2.2 

Der Bundesrechnungshof hat es als unvertretbar an- 
gesehen, VS-Daten mit Geräten zu verarbeiten, die 
dafür nicht zugelassen sind. Die Vertraulichkeit der 
dort verfilmten Daten ist nicht gewährleistet, da die 
Strahlungsintensität des Mikroverfilmungsgerätes 
besonders groß sein und mit einfachen handelsübü- 
chen Geräten aufgefangen und dargestellt werden 
kann. Das Risiko der Computerspionage wird durch 
die Lage des Rechenzentrums vergrößert. 


3.2.3 

Der Bundesrechnungshof hat den Bundesminister 
aufgefordert, die Sicherheitslücke unverzüghch zu 
beseitigen. Dieser hat mitgeteüt, die Bundeswehr 
habe ein Schutzgerät instalüert, das eine möghche 
Auswertung der Abstrahlung verhindern soll. Er 
werde die Arbeitsweise des Schutzgerätes überprüfen 
lassen. 


3.2.4 

Der Bundesrechnungshof hat Zweifel, ob die vorgese- 
hene Maßnahme die gewünschte Wirkimg erbringen 
wird. Der Bundesminister sollte die Schutzwirkung 
des Gerätes unverzüglich untersuchen lassen. 

4 Deutsche Bundesbahn 

Die Deutsche Bundesbahn betreibt mehrere Rechen- 
zentren, und zwar sowohl für operative Zwecke (wie 
Transportsteuerung, Fahrzeuginformations- und Vor- 
meldesystem, Container- Vormelde verfahren, Fahr- 
kartenverkauf) als auch für administrative Aufgaben 
(z. B. Personaldatenverarbeitung, Lohn- und Bezüge- 
Abrechnung, Steuerung des Güterkraftverkehrs und 
der Materialwirtschaft). 


4.1 Objektsicherheit 

4.1.1 

Die Objektsicherheit eines Rechenzentrums wies 
Lücken auf: 

— Es liegt ungeschützt an einer stark befahrenen 
Straße. 

— Fahrzeuge konnten unmittelbar an den Gebäude- 
mauern abgestellt werden. 
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— Die Gebäuderückseite war ledighch mit niedrigen 
Garagenwänden abgesichert. 

— Der Pförtner konnte nicht die gesamte Gebäude- 
rückseite überwachen. 

Der kontrollierte Zugang zu den Sicherheitsbereichen 

des Rechenzentrums war nicht gewährleistet: 

— Die Mitarbeiter hatten Schheßmechanismen der 
Türen zu den verschiedenen Sicherheitsbereichen 
außer Funktion gesetzt. 

— Über einen tagsüber nicht gesicherten Personen- 
aufzug waren die Maschinensäle der Datenverar- 
beitungsanlage auch für Unbefugte zugänglich. 

— Magnetbandarchive in unmittelbarer Nähe von 
zwei Anlagen waren nicht als getrennte Sicher- 
heitsbereiche eingerichtet. 

— Zugangsberechtigungen zum Rechenzentrum wa- 
ren in großer Zahl auch an nicht ständig im Ge- 
bäude beschäftigte Personen ausgegeben wor- 
den. 


4.1.2 

Der Bundesrechnungshof hat bemängelt, daß die Si- 
cherung des Gebäudes — insbesondere unter Berück- 
sichtigung seiner ungeschützten Lage — unzuläng- 
lich ist, was möghche Sabotagehandlungen begün- 
stigt. 

Geräte und Datenträger seien vor Sabotage und Dieb- 
stahl nicht ausreichend geschützt, weil der Zugang zu 
dem Gebäude und den verschiedenen Sicherheitsbe- 
reichen nicht genügend kontroUiert wird. Die zu große 
Zahl von zutrittsberechtigten Personen vergrößere 
diese Gefahr. Insgesamt ergebe sich dadurch ein er- 
hebliches Sicherheitsrisiko. 

Der Bundesrechnungshof hat den Vorstand aufgefor- 
dert, die äußere Absicherung des Gebäudes zu ver- 
bessern sowie die bauhchen und organisatorischen 
Mängel der Zugangskontrolle zu dem Gebäude zu 
beheben. Weiterhin sei erforderlich, die Anzahl der 
Zutrittsberechtigten auf die ständig im Rechenzen- 
trum beschäftigten Mitarbeiter zu begrenzen und die 
schwerwiegenden Mängel beim ZugangskontroUsy- 
stem innerhalb des Gebäudes zu beseitigen. 


4.1.3 

Der Vorstand hat die Mängel anerkannt und mitge- 
teilt, er habe verschiedene Maßnahmen eingeleitet, 
um die äußere Sicherheit des Gebäudes zu verbes- 
sern. Getrennte Sicherheitsbereiche für die Magnet- 
bandarchive könnten aber erst im Rahmen von Bau- 
maßnahmen geschaffen werden. 


4.1.4 

Der Bundesrechnungshof hält es für geboten, daß 
schon jetzt — bis zum Abschluß der Baumaßnahmen 
— geeignete Vorkehrungen getroffen werden, um die 


Kontrollen des Zugangs zum Gebäude und den 
Schutz der Magnetbandarchive zu verbessern. 

Der Vorstand sollte die eingeleiteten Maßnahmen mit 
Nachdruck durchführen und Sicherheitsaspekte auch 
während der Umbauphase mit höchster Priorität ver- 
folgen. 


4.2 Einsatz von Sicherheitssoftware 

4.2.1 

Einer großen Zahl von Mitarbeitern des Rechenzen- 
trums war der uneingeschränkte Zugriff auf alle Da- 
ten und Programme der Produktionsrechner möglich. 
Insgesamt besaßen 31 Personen den „Generalschlüs- 
seT'. Mehrere Nutzer arbeiteten unter einer gemein- 
samen Nutzerkennung. Zugriffsversuche wurden 
nicht regelmäßig und zeitnah kontroUiert. 

Bei der Einrichtung und Verwaltung der Sicherheits- 
software wurde festgesteUt: 

— Im System waren ungültige Nutzerkennungen ge- 
speichert. 

— Die Paßworte waren für einen Zeitraum von 60 
Tagen gültig. 

— Nicht alle Zugriffsberechtigungen wurden einheit- 
lich von einer zentralen Stelle im Rechenzentrum 
verwaltet. 

— Magnetbanddateien waren in das Zugriffsschutz- 
system nicht einbezogen. 


4.2.2 

Der Bundesrechnungshof hat wegen der festgestell- 
ten Mängel die Sicherheit von Daten und Program- 
men vor unberechtigter Kenntnisnahme, Verände- 
rung und Zerstörung als nicht mehr gewährleistet an- 
gesehen. Insbesondere die im Rechenzentrum verar- 
beiteten personenbezogenen, kassenwirksamen und 
sonstigen sensiblen Daten waren einem hohen Risiko 
des Verlustes der Vertrauhchkeit und Unversehrtheit 
ausgesetzt. 


4.2.3 

Der Vorstand hat die Beanstandungen anerkannt und 
mitgeteilt, er habe die Zugriffsrechte eingeschränkt. 


4.2.4 

Die Neuregelung des Zugriffsschutzes bietet nach der 
Überzeugung des Bundesrechnungshofes noch im- 
mer keine ausreichende Sicherheit vor Manipulation. 
Die Zugriffsberechtigungen sind noch nicht weitge- 
hend genug eingeschränkt; Zugrif fsversuche werden 
nicht kontrolhert. 

Der Vorstand sollte dafür Sorge tragen, daß insbeson- 
dere bei den Neuentwicklungen die Zugriffsberechti- 
gungen noch restriktiver erteilt werden. 
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4.3 Schutz der Datenfernübertragung 

4.3.1 

Eines der geprüften Rechenzentren bildet dön zentra- 
len Knoten im bundesweiten Datenfernübertragungs- 
netz der Deutschen Bundesbahn. Alle Kabelzuführun- 
gen laufen in einem nicht abgesicherten, öffentlich 
zugänghchen Kabelschacht zusammen. Eine Zufüh- 
rung an verschiedenen Stellen (Mehrwegesystem) zur 
Erhöhung der Verfügbarkeit des Datennetzes gibt es 
nicht. 


4.3.2 

Der Bundesrechnungshof sieht das Datenfernübertra- 
gungsnetz durch die fehlende Mehrfachauslegung 
der Zuleitungen und die ungesicherte Kabelführung 
als nicht ausreichend gegen Sabotageakte geschützt 
an. 

Er hat den Vorstand aufgefordert, Vorkehrungen zu 
treffen, um die Verletzbarkeit der Datenfernübertra- 
gung zu beseitigen. 


4.3.3 

Der Vorstand hat die Feststellungen anerkannt und 
mitgeteilt, daß er zur Zeit Möglichkeiten einer Ver- 
besserung der Sicherheitsvorkehrungen untersuche. 


4.3.4 

Die besondere Gefährdung des Datenfernübertra- 
gungsnetzes erfordert ein sofortiges Handeln. Der 
Vorstand sollte sicherstellen, daß die Mängel unver- 
züghch beseitigt werden. 


5 Deutsche Bundespost 

In einem Rechenzentrum der Deutschen Bundespost 
werden täghch rd. 300 000 Femmelderechnungen er- 
stellt, kuvertiert und versandt sowie weitere, zum Teil 
auch kassenwirksame Datenverarbeitungsverfahren 
durchgeführt. 


5.1 Programme mit schädlichen Nebenwirkungen 

5.1.1 

In den Speicherbereich, der den Programmierern zur 
Veränderung von Produktionsprogrammen zugeteilt 
war, gelangten über die Datenfernübertragung un- 
kontrolliert Nachrichten und Daten. Es war nicht aus- 
zuschheßen, daß sich darunter auch ausführbare Pro- 
gramme mit schädlicher Nebenwirkung befanden, 
die Produktionsprogramme in nicht vorhersehbarer 
Weise verfälschen können. 


5.1.2 

Der Bundesrechnungshof hat bemängelt, daß mani- 
pulierte Programme im Bereich kassenwirksamer 
Verfahren zur Ausführung kommen könnten. Er hat 
darauf hingewiesen, daß durch die Art der derzeit 
praktizierten Programmabnahme Beeinträchtigungen 
der Richtigkeit und Unversehrtheit der Produktions- 
programme kaum erkannt werden könnten. 

Der Bundesrechnungshof hat den Bundesminister 
aufgefordert, künftig sicherzustellen, daß Produk- 
tionsprogramme lediglich in Bereichen mit ein- 
geschränkten Zugriffsberechtigungen gespeichert 
werden, in die also Daten und Programme nur kon- 
trolliert gelangen können und die einer maschinel- 
len Änderungskontrolle unterliegen (geschützte 
Bereiche). 


5.1.3 

Der Bundesminister hat mitgeteilt, daß er die bisher 
von ihm erlassenen Regelungen über den Schutz des 
Speicherbereichs der Programmierer für ausreichend 
halte. Das Einschleusen von Programmen mit schädli- 
cher Nebenwirkung sei nicht durch das Einschränken 
von Berechtigungen, sondern nur durch eine mit ho- 
hem Aufwand verbundene manuelle Kontrolle aller 
durchgeführten Änderungen an den Programmen zu 
verhindern. 


5.1.4 

Der Bundesrechnungshof ist der Auffassung, daß trotz 
der vom Bundesminister bisher getroffenen Regelun- 
gen weiterhin die Möghchkeit einer schädlichen Pro- 
grammänderung besteht. Solange durch Nachrich- 
tenübermittlung Programme fremder Herkunft in die- 
selben Speicherbereiche gelangen können, in denen 
die Programmierer Produktionsprogramme speichern 
und bearbeiten, besteht die Gefahr der Beeinflussung 
durch diese Programme. Der Bundesrechnungshof 
bleibt deshalb bei seiner Auffassung, daß Produkti- 
onsprogramme nur in geschützten Bereichen gespei- 
chert werden sollen. Die vom Bundesrechnungshof 
hierfür vorgeschlagene maschinelle Versionskon- 
trolle ist mit vertretbarem Aufwand durchführbar und 
bietet darüber hinaus höheren Schutz als die vom 
Bundesminister angeführte manuelle Kontrolle. 


5.2 Zugriffsschutz dezentraler Rechner 
5.2.1 

An den zentralen Rechner in diesem Rechenzentrum 
waren über Datenfernübertragung eigenständige 
Rechner angeschlossen, die auf Datenbestände und 
Programme des zentralen Rechners zugreifen konn- 
ten. Das eingesetzte Betriebssystem gewährleistete 
keinen Schutz gegen die Wiederholung unerlaubter 
Paßworteingabeversuche. So wurden zwar wieder- 
holte Versuche protokolhert, die zugehörige Benut- 


9 



Drucksache 11/7691 


Deutscher Bundestag — 11. Wahlperiode 


zerkennung wurde jedoch nach einer bestimmten An- 
zahl von Fehlversuchen nicht automatisch gesperrt. 
Die Protokolle über Paßworteingaben wurden nicht 
systematisch ausgewertet. Weiterhin hat der Bundes- 
rechnungshof festgestellt, daß die Systembetreuer der 
dezentralen Rechner umfassende Zugriffsrechte bei 
der Verwaltung von sicherheitsrelevanten Programm- 
funktionen hatten. Eine Kontrolle ihrer Tätigkeit 
fehlte jedoch. 


5.2.2 

Der Bundesrechnungshof hat beanstandet, daß der 
mangelnde Schutz vor wiederholten unberechtigten 
Zugriffen sowie die unkontrollierte Ausübung umfas- 
sender Zugriffsrechte die Vertrauhchkeit sowie die 
Richtigkeit und Unversehrtheit der auf den dezentra- 
len Rechnern betriebenen Datenverarbeitungsan- 
wendungen und der dort verwalteten Daten gefähr- 
den. Er hat dem Bundesminister vorgeschlagen, dafür 
zu sorgen, daß neben den protokollierten Zugriffsver- 
suchen auf Programme und Dateien auch die Tätig- 
keit der Systembetreuer durch einen unabhängigen 
Kontrolleur geprüft wird. 


5.2.3 

Der Bundesminister hat mitgeteilt, daß die beschrie- 
benen Mängel auf die bisher nicht vollständige Instal- 
lation der vorgesehenen Sicherungsvorkehrungen zu- 
rückzuführen seien. Er hat zugesagt — wie vom Bun- 
desrechnungshof empfohlen — , die Einrichtung einer 
Kontrolle zu untersuchen. Für die Prüfung und Verfol- 
gung von Zugriffsverstößen würden Regelungen erar- 
beitet. 


5.2.4 

Der Bundesrechnungshof vertritt den Standpunkt, 
daß die zur Gewährleistung der Vertrauhchkeit sowie 
der Richtigkeit und Unversehrtheit der Datenverar- 
beitungsanwendungen erforderhchen Maßnahmen 
mit mehr Nachdruck zu betreiben sind. Er wird die 
Wirksamkeit der getroffenen Maßnahmen zu gegebe- 
ner Zeit prüfen. 


5.3 Ausweichrechenzentrum 

5.3.1 

Die Katastrophenschutzplanung des Bundesministers 
sieht vor, daß das Drucken, Separieren, Kuvertieren 
und Versenden der täghch rd. 300 000 Fernmelde- 
rechnungen nach einem Totalausfall des Rechenzen- 
trums von einem geplanten Rumpf -Rechenzentrum 
übernommen wird, in dem technische Einrichtungen 
für die Weiterverarbeitung der Arbeitsergebnisse be- 
reitgehalten werden sollen. Bisher hegt nur die Pla- 
nung zur Errichtung des Rumpf-Rechenzentrums mit 
der zugehörigen Infrastruktur vor. 


5.3.2 

Der Bundesrechnungshof hat beanstandet, daß es bei 
Totalausfall des Rechenzentrums nicht möglich ist, 
kurzfristig die Fertigung der Fernmelderechnungen 
in ein anderes Rechenzentrum zu übernehmen. Er hat 
dem Bundesminister empfohlen, über die bereits vor- 
gelegte Planung zügig zu entscheiden. 


5.3.3 

Der Bundesminister hat mitge teilt, in Kürze eine wei- 
tere Entscheidung über die Errichtung der Rumpf - 
Rechenzentren zu treffen. Das bisherige Konzept sei 
insbesondere hinsichtlich der Rechnerverlagerung 
und der erforderlichen Datenfemübertragimgsleitun- 
gen zu überarbeiten. Die Oberpostdirektionen wür- 
den unabhängig davon aufgefordert, geeignete 
Räumlichkeiten auszuwählen und — soweit mög- 
lich — mit der erforderlichen Infrastruktur auszustat- 
ten. 


5.3.4 

Der Bundesminister und die Vorstände der Unterneh- 
men der Deutschen Bundespost sollten über das vor- 
liegende Konzept unverzüglich entscheiden. 


Der Bericht ist vom Großen Senat des Bundesrechnungshofes beschlossen worden. 


Frankfurt am Main, 28. August 1990 


Bundesrechnungshof 

Dr. Zavelberg 
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